医疗行业向来是网络攻击者的“青睐对象”。过去,攻击者的目标是医疗机构存储的患者个人健康和财务数据,但勒索软件的出现极大地改变了医疗行业的威胁格局。
医疗行业网络安全态势
相关数据显示,受新冠疫情影响,医疗行业网络安全威胁持续加剧,2020 年,针对医疗行业的网络攻击增加了50%以上。在记录的599起医疗行业网络安全事件中,403起 (67.3%)是由黑客和IT事件引起的,通过部署勒索软件和加密关键数据的攻击手段极为常见。
“许多遭受勒索软件攻击的医疗企业,都会权衡收入损失与赎金成本以及后续攻击的可能性。”医患支付技术公司Patientco的CTO肖恩·乔伊斯说道。
“另外,医疗企业是否支付赎金的考量因素还包括患者安全,即使是短暂的医疗设备停机,也可能对患者造成伤害或使社区服务中断。因此医疗机构面临着支付赎金和恢复关键系统的巨大压力,并且这种状况短时间内可能无法改变。”
医疗保健CISO及其面临的挑战
乔伊斯还指出,医疗机构的第三方系统包括:医院的核心EMR系统、面向患者的web门户、移动设备、联网MRI,以及患者可穿戴设备和手术机器人。上述很多设备系统比传统系统更易遭到网络威胁。
Imprivata的CTO赖特表示:“移动设备、共享工作站和从内部部署、云或两者交付的应用程序的采用,使身份管理成为安全的新边界。CISO不仅需要控制网络,还需要管理其医疗保健组织复杂生态系中的每个数字身份。”
全球咨询公司StoneTurn的泰勒瑞表示:“医疗企业要在解决人才和预算短缺问题的同时,努力为合规性设定一个高标准,而这些标准通常比更多的商业组织更缺少资源支持。”
给医疗行业CISO的建议
赖特建议医疗行业CISO可以通过采用零信任架构,以确保共享对移动设备在访问资源之前是安全的:“需要清除在每个数字身份事件中授权和验证医疗保健专业人员的检查点。多因素身份验证也可以部署在移动设备上,使它们更加安全和私密,同时还支持更好的工作流程。最后,共享移动设备上的密码自动填充是一种有用的解决方案,可以节省时间并消除手动填写复杂密码的重复性任务。”
乔伊斯建议实施最低权限访问的做法,将用户访问权限限制为团队成员完成其工作职能所需的最少数据,以及:
- 定期开展员工安全/网络钓鱼培训计划;
- 围绕SIEM建立一个安全专家团队,监控实时系统流量,以便在攻击的早期识别网络威胁;
- 为重要数据系统的连续备份制定合理的策略;
- 用在云中本地构建的系统替换传统的自托管系统。
此外,以下策略和方法已被证明是有效的:
- 在安全评估中对勒索软件和电子邮件入侵等威胁进行建模,以确保强化弱点和控制措施;
- 主动监控网络威胁和情报来源,寻找可能的数据暴露或弱点的指标;
- 围绕PHI等关键信息的保护措施和控制措施制定安全指标;
- 在所有可远程访问的系统中实施多因素身份验证;
- 建议主动监控计算活动和访问控制记录的异常情况;
- 隔离因第三方软件/硬件要求而易受攻击的系统。
乔伊斯指出:“攻击发生前做好防御是最好的措施,对于可能发生的任何事件,最好的防御措施是在攻击发生之前做好充分的防御。安全事件发生后,医院可能面临监管罚款或处罚,以及其他财务后果,除了成本之外,声誉受损还会降低患者对其医疗服务提供者的信任。企业可采取诸如聘请数字取证和事件响应专家来识别和解决漏洞的成本、配备呼叫中心来处理来自患者的询问、与导致违反HIPAA的违规行为相关的监管防御费用、患者支持和通知服务等。”
乔伊斯补充:“对系统安全信息的例行评估将大大有助于防止攻击及其带来的后果。制定一套流程也很重要,以防出现违规行为,或者在攻击发生后快速通知患者和其他受影响的各方采取适当的预防措施。”
【本文是51CTO专栏作者“安全牛”的原创文章,转载请通过安全牛(微信公众号id:gooann-sectv)获取授权】